Installer ATA - Étape 6

S’applique à : Advanced Threat Analytics version 1.9

Étape 6 : configurer la collecte d’événements

Configurer la collecte d’événements

Pour améliorer les capacités de détection, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757 et 7045. Ces événements Windows sont lus automatiquement par la passerelle légère ATA ou, si cette dernière n'est pas déployée, ils peuvent être transmis à la passerelle ATA de deux manières, soit en configurant la passerelle ATA pour qu'elle écoute les événements SIEM, soit en configurant le transfert d'événements Windows.

Remarque

Pour les versions 1.8 et ultérieures d’ATA, la configuration de la collecte d’événements Windows n’est plus nécessaire pour les passerelles ATA Lightweight. La passerelle ATA Lightweight lit désormais les événements localement, sans avoir à transmettre l’événement de configuration.

Outre la collecte et l'analyse du trafic réseau en provenance et à destination des contrôleurs de domaine, ATA peut utiliser les événements Windows pour améliorer les détections. Il utilise l'événement 4776 pour NTLM, qui améliore diverses détections, et les événements 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer la détection des modifications de groupes sensibles. Cela peut être reçu de votre SIEM ou en définissant le transfert d’événements Windows à partir de votre contrôleur de domaine. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas disponibles via le trafic réseau du contrôleur de domaine.

SIEM/Syslog

Pour qu’ATA puisse consommer des données à partir d’un serveur Syslog, vous devez effectuer les étapes suivantes :

  • Configurez vos serveurs de passerelle ATA pour écouter et accepter les événements transférés à partir du serveur SIEM/Syslog.

Remarque

ATA n'écoute que sur IPv4 et non sur IPv6.

  • Configurez votre serveur SIEM/Syslog pour transférer des événements spécifiques à la passerelle ATA.

Important

  • Ne pas transférer toutes les données Syslog à la passerelle ATA.
  • ATA prend en charge le trafic UDP à partir du serveur SIEM/Syslog.

Reportez-vous à la documentation produit serveur SIEM/Syslog pour plus d’informations sur la configuration du transfert d’événements spécifiques vers un autre serveur.

Remarque

Si vous n’utilisez pas de serveur SIEM/Syslog, vous pouvez configurer vos contrôleurs de domaine Windows pour transférer l’ID d’événement Windows 4776 à collecter et analyser par ATA. L’ID d’événement Windows 4776 fournit des données concernant les authentifications NTLM.

Configuration de la passerelle ATA pour écouter les événements SIEM

  1. Dans Configuration ATA, sous Sources de données, cliquer sur SIEM, puis activez Syslog et cliquer sur Enregistrer.

    Enable syslog listener UDP image.

  2. Configurez votre serveur SIEM ou Syslog pour transférer l’ID d’événement Windows 4776 à l’adresse IP de l’une des passerelles ATA. Pour plus d’informations sur la configuration de votre SIEM, consultez l’aide en ligne SIEM ou les options de support technique pour connaître les exigences de mise en forme spécifiques pour chaque serveur SIEM.

ATA prend en charge les événements SIEM dans les formats suivants :

Analytique de sécurité RSA

<En-tête Syslog>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • L’en-tête Syslog est facultatif.

  • Le séparateur de caractères « \n » est requis entre tous les champs.

  • Les champs, dans l’ordre, sont les suivants :

    1. Constante RsaSA (doit apparaître).
    2. L'horodateur de l'événement réel (assurez-vous qu'il ne s'agit pas de l'horodateur de l'arrivée à l'EM ou de l'envoi à ATA). De préférence en millisecondes, cela est important.
    3. ID d’événement Windows
    4. Nom du fournisseur d’événements Windows
    5. Nom du journal des événements Windows
    6. Nom de l’ordinateur recevant l’événement (le contexte de périphérique dans ce cas)
    7. Nom de l’authentification de l’utilisateur
    8. Nom du nom d'hôte source
    9. Code résultat de la NTLM
  • L’ordre est important et rien d’autre ne doit être inclus dans le message.

MicroFocus ArcSight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Le contrôleur de domaine a tenté de valider les informations d'identification d'un compte.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Raison ou code d'erreur

  • Doit se conformer à la définition du protocole.

  • Pas d’en-tête syslog.

  • La partie d’en-tête (la partie séparée par un canal) doit exister (comme indiqué dans le protocole).

  • Les clés suivantes dans la partie Extension doivent être présentes dans l’événement :

    • externalId = l’ID d’événement Windows
    • rt = l'horodateur de l'événement réel (assurez-vous qu'il ne s'agit pas de l'horodateur de l'arrivée à l'EM ou de l'envoi à ATA). De préférence en millisecondes, cela est important.
    • cat = Nom du journal des événements Windows
    • shost = le nom d’hôte source
    • dhost = l’ordinateur recevant l’événement (le contexte de périphérique dans ce cas)
    • duser = l’authentification de l’utilisateur
  • L’ordre n’est pas important pour la partie Extension

  • Il doit y avoir une clé personnalisée et une keyLable pour ces deux champs :

    • « EventSource »
    • « Raison ou Code d'erreur » = Code résultat de la NTLM

Splunk

<En-tête Syslog>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

L’ordinateur a essayé de valider les identifiants d’un compte.

Package d'authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Compte de connexion : administrateur

Station de travail source : SIEM

Code d'erreur : 0x0

  • L’en-tête Syslog est facultatif.

  • Il existe un séparateur de caractères « \r\n » entre tous les champs obligatoires. Notez qu’il s’agit de caractères de contrôle CRLF (0D0A en hexadécimal) et non de caractères littéraux.

  • Les champs sont au format clé-valeur.

  • Les clés suivantes doivent exister et avoir une valeur :

    • EventCode = l’ID d’événement Windows
    • Logfile = Nom du journal des événements Windows
    • SourceName = Nom du fournisseur d’événements Windows
    • TimeGenerated = l'horodateur de l'événement réel (assurez-vous qu'il ne s'agit pas de l'horodateur de l'arrivée à l'EM ou de l'envoi à ATA). Le format doit correspondre à aaaaMMjjHhmmss.FFFFFF, de préférence en millisecondes, c’est important.
    • ComputerName = le nom d’hôte source
    • Message = texte d’événement d’origine de l’événement Windows
  • La clé et la valeur du message DOIVENT être les dernières.

  • L’ordre n’est pas important pour les paires clé-valeur.

QRadar

QRadar permet la collecte d'événements via un agent. Si les données sont collectées à l'aide d'un agent, le format horaire est collecté sans les données relatives aux millisecondes. L'ATA nécessitant des données à la milliseconde, il est nécessaire de configurer QRadar pour qu'il utilise la collecte d'événements Windows sans agent. Pour plus d’informations, consultez QRadar : Collection d’événements Windows sans agent à l’aide du protocole MSRPC.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Les champs nécessaires sont les suivants :

  • Type d’agent de la collection

  • Nom du module fournisseur d’informations des événements Windows

  • Source du journal des événements Windows

  • Nom de domaine complet du contexte de périphérique

  • ID d’événement Windows

TimeGenerated est l'horodateur de l'événement réel (assurez-vous qu'il ne s'agit pas de l'horodateur de l'arrivée à l'EM ou de l'envoi à ATA). Le format doit correspondre à aaaaMMjjHhmmss.FFFFFF, de préférence en millisecondes, c’est important.

Le message est le texte d’événement d’origine de l’événement Windows

Veillez à avoir \t entre les paires clé-valeur.

Remarque

L'utilisation de WinCollect pour la collecte d'événements Windows n'est pas prise en charge.

Voir aussi